Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 2. Шифрование диска BitLocker
Опубликовано 4 апреля 2007
Шифрование диска Microsoft® BitLocker™ является важной новой функцией безопасности в операционной системе Windows Vista™ (версии Enterprise и Ultimate), обеспечивающей эффективную защиту данных и самой операционной системы.
BitLocker представляет собой технологию шифрования всего тома, которая позволяет гарантировать, что данные, хранящиеся на компьютере с Windows Vista, не будут получены в случае несанкционированного доступа к компьютеру в то время, когда операционная система не загружена. Она разработана для компьютеров, оснащенных совместимыми микросхемами доверенного платформенного модуля и BIOS. При наличии этих компонентов BitLocker использует их для обеспечения более эффективной защиты данных и целостности компонентов на этапе первоначальной загрузки. Эта технология позволяет защитить данные от кражи или несанкционированного просмотра путем шифрования всего тома.
Доверенный платформенный модуль обычно устанавливается на системную плату компьютера и использует для взаимодействия с остальными компонентами компьютера аппаратную шину. Компьютеры, оснащенные доверенным платформенным модулем, могут создавать ключи шифрования и шифровать их таким образом, чтобы их можно было расшифровать только с помощью доверенного платформенного модуля. Этот процесс, часто называемый шифрованием или привязкой ключа, позволяет защитить ключ от разглашения. Каждый доверенный платформенный модуль имеет главный ключ шифрования, который называется корневым ключом хранилища. Этот ключ хранится в самом доверенном платформенном модуле. Закрытая составляющая пары ключей, созданной доверенным платформенным модулем, недоступна ни одному компоненту, программе, процессу или лицу.
BitLocker предоставляет две основные возможности.
Эта технология обеспечивает шифрование данных компьютера путем шифрования содержимого тома с операционной системой. Злоумышленник, извлекший жесткий диск, не сможет прочитать его, пока не получит ключи, для чего, в свою очередь, необходима инфраструктура восстановления или доверенный платформенный модуль исходного компьютера.
Эта технология обеспечивает шифрование всего тома путем шифрования всего содержимого защищенных томов, включая файлы, используемые системой Windows Vista, загрузочный сектор и зарезервированное пространство, ранее выделенное для используемых файлов. Таким образом, при отсутствии ключа злоумышленник не может получить полезные сведения путем анализа любой части диска.
Механизмы восстановления доступны полномочным пользователям при возникновении определенных условий. Например, если доверенный платформенный модуль не проходит проверку из-за необходимого обновления, замены содержащей его системной платы или перемещения жесткого диска, содержащего том с операционной системой, на другой компьютер, система переходит в режим восстановления. Для получения доступа к тому пользователю потребуется ключ восстановления, хранящийся на USB-устройстве или в службе каталогов Active Directory®.
Процесс восстановления одинаков для всех режимов BitLocker. Если ключ восстановления не находится на компьютере (то есть не теряется при утрате компьютера), а атака, направленная на получение ключа, не проводится сотрудником организации, например администратором домена, то ее реализация крайне затруднительна.
После проверки службой BitLocker доступа к защищенному тому с операционной системой драйвер фильтра файловой системы BitLocker использует полный ключ шифрования тома для прозрачного шифрования и расшифровки секторов диска в процессе записи и чтения данных на защищенном томе. Когда компьютер переходит в режим гибернации, зашифрованный файл гибернации сохраняется на защищенном томе. После выхода компьютера из режима гибернации и проверки подлинности этот файл расшифровывается.
BitLocker поддерживает несколько различных режимов, которые зависят от возможностей оборудования компьютера и требуемого уровня безопасности. К таким режимам относятся:
BitLocker с доверенным платформенным модулем;
BitLocker с USB-устройством;
BitLocker с доверенным платформенным модулем и персональным идентификационным номером (ПИН);
BitLocker с доверенным платформенным модулем и USB-устройством.
На этой странице
Режим BitLocker: BitLocker с доверенным платформенным модулем Режим BitLocker: BitLocker с USB-устройством Режим BitLocker: BitLocker с доверенным платформенным модулем и ПИН Режим BitLocker: BitLocker с доверенным платформенным модулем и USB-устройством Технология BitLocker: сводный анализ рисков Дополнительные сведения
Режим BitLocker: BitLocker с доверенным платформенным модулем
Для использования режима BitLocker с доверенным платформенным модулем компьютер должен быть оснащен доверенным платформенным модулем версии 1.2. Этот режим прозрачен для пользователя, поскольку процесс загрузки не меняется, а дополнительные пароли или оборудование не требуются.
Режим проверки подлинности с использованием только доверенного платформенного модуля является наиболее прозрачным для организаций, которым необходим базовый уровень защиты данных для соответствия политикам безопасности. Этот режим наиболее прост в развертывании, управлении и использовании. Кроме того, он лучше всего подходит для компьютеров, которые работают без присмотра или которые должны перезагружаться без вмешательства пользователя.
Однако данный режим обеспечивает наименьший уровень защиты данных. Он обеспечивает защиту от некоторых атак, изменяющих компоненты первоначальной загрузки, но на уровень защиты могут влиять потенциальные уязвимости оборудования или компонентов первоначальной загрузки. Режимы многофакторной проверки подлинности BitLocker позволяют предотвратить многие виды подобных атак.
Если в некоторых подразделениях организации на мобильных компьютерах хранятся конфиденциальные данные, рекомендуется развернуть на них BitLocker с многофакторной проверкой подлинности. Требование ввода ПИН или использования USB-ключа значительно затрудняет атаки на конфиденциальные данные.
На приведенном ниже рисунке показана логическая последовательность процесса расшифровки в данном режиме.
.gif)
Рис. 2.1. Процесс расшифровки в режиме BitLocker с доверенным платформенным модулем
На рисунке показаны приведенные ниже этапы.
BIOS запускается и инициализирует доверенный платформенный модуль. Доверенные (измеренные) компоненты взаимодействуют с доверенным платформенным модулем, чтобы сохранить данные компонентов в регистрах конфигурации платформы доверенного платформенного модуля (PCR).
Если значения регистров конфигурации платформы соответствуют ожидаемым значениям, доверенный платформенный модуль использует корневой ключ хранилища для расшифровки основного ключа тома.
Зашифрованный полный ключ шифрования тома считывается с тома, а для его расшифровки используется основной ключ тома.
Секторы диска расшифровываются с помощью полного ключа шифрования тома по мере доступа к ним.
Приложениям и процессам данные предоставляются в незашифрованном виде.
Обеспечение безопасности основного ключа тома является косвенным способом защиты данных на томе диска. Добавление основного ключа тома позволяет системе с легкостью повторно создавать ключи при раскрытии или утере ключей, расположенных выше в цепочке доверия, поскольку расшифровка и повторное шифрование всего диска является трудоемкой операцией.
Как показано в предыдущем процессе, технология BitLocker предотвращает расшифровку тома и загрузку операционной системы при обнаружении изменений в коде основной загрузочной записи (MBR), загрузочном секторе NTFS, блоке загрузки NTFS, диспетчере загрузки и иных критически важных компонентах.
Снижение рисков: BitLocker с доверенным платформенным модулем
Режим BitLocker с доверенным платформенным модулем позволяет снизить указанные ниже риски.
Обнаружение ключей с помощью автономной атаки. Основной ключ тома шифруется с помощью корневого ключа хранилища, который хранится в доверенном платформенном модуле. После этого основной ключ тома используется для шифрования полного ключа шифрования тома. Для расшифровки данных на зашифрованном томе злоумышленнику потребуется определить значение полного ключа шифрования тома методом перебора.
.gif)
Примечание.По умолчанию BitLocker использует алгоритм AES-128 и 128-разрядную версию диффузора Elephant. Дополнительные сведения о роли диффузора Elephant в повышении безопасности BitLocker см. в статье AES-CBC + диффузор Elephant, посвященной шифрованию диска BitLocker. BitLocker также можно настроить на использование алгоритма AES-256 совместно с 256-разрядной версией Elephant, только алгоритма AES-128 или только алгоритма AES-256. Дополнительные сведения о выборе стойкости шифрования для BitLocker см. в документации к Windows Vista.
Автономные атаки на операционную систему. Автономные атаки на операционную систему затрудняются в силу того, что злоумышленнику требуется либо восстановить корневой ключ хранилища из доверенного платформенного модуля и затем использовать его для расшифровки основного ключа тома, либо вскрыть полный ключ шифрования тома методом перебора. Кроме того, технология BitLocker, настроенная на использование технологии диффузора (которая включена по умолчанию), позволяет предотвратить целенаправленные атаки подобного рода, поскольку незначительные изменения зашифрованного текста будут распространяться на большие области.
Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.
Утечка незашифрованных данных через системный файл подкачки. Когда служба BitLocker включена, системный файл подкачки шифруется.
Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.
Другие риски и их снижение: BitLocker с доверенным платформенным модулем
Режим BitLocker с доверенным платформенным модулем не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.
Компьютер оставлен в режиме гибернации. Состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в режим гибернации. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.
Компьютер оставлен в спящем (ждущем) режиме. Как и в случае с режимом гибернации, состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в спящий режим. При выходе из спящего режима полный ключ шифрования тома остается доступным на компьютере. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.
Пользователь не вышел из системы, компьютер разблокирован. После загрузки компьютера и распечатывания основного ключа тома расшифрованные данные доступны любому, кто может воспользоваться клавиатурой. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности.
Обнаружение локального пароля или пароля домена. Поскольку доверенный платформенный модуль постоянно подключен к компьютеру, его нельзя считать дополнительным фактором проверки подлинности или обеспечения безопасности доступа к зашифрованным файлам. Если пароль пользователя раскрыт, шифрование также не имеет смысла. Этот риск можно снизить, научив пользователей создавать надежные пароли, не разглашать их и не записывать их в очевидных местах. Политика использования надежных сетевых паролей позволяет эффективно предотвращать атаки перебором по словарю злоумышленниками, использующими широко доступные средства.
Сотрудник организации может прочитать зашифрованные данные. BitLocker с доверенным платформенным модулем не требует для доступа ко всем зашифрованным данным на компьютере никаких учетных данных, кроме допустимого пароля учетной записи пользователя. Таким образом, любой пользователь, который может войти в систему на компьютере, может получить доступ к некоторым или ко всем файлам, зашифрованным BitLocker, как если бы технология BitLocker была отключена. Наиболее надежным способом снижения данного риска является требование использования дополнительного фактора проверки подлинности (это возможно в некоторых других режимах BitLocker) или тщательный контроль того, кому разрешено входить в систему каждого компьютера. Кроме того, надлежащее развертывание файловой системы EFS позволяет значительно снизить этот риск.
Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима. Если злоумышленнику удастся распечатать том и вызвать нормальную перезагрузку, операционная система окажется подверженной различным атакам, включая несанкционированное получение прав и удаленное выполнение кода.
Атаки на платформу. Компьютер, настроенный на использование базового режима BitLocker (только с доверенным платформенным модулем), загружается и запускает операционную систему до появления окна выбора учетных записей пользователей Microsoft Windows® (служба Winlogon), не требуя дополнительной проверки подлинности BitLocker. Чтобы загрузить операционную систему с зашифрованного тома, компьютер должен получить привилегированный доступ к ключам расшифровки. Это происходит безопасным образом, поскольку осуществляется на основе высоконадежной вычислительной базы (TCB), которая проверяется с помощью доверенного платформенного модуля. Любая атака на платформу, например прямой доступ к памяти (DMA) через шину PCI, может привести к разглашению данных ключа.
Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. Доверенный платформенный модуль обеспечивает дополнительный уровень безопасности, поскольку без этого модуля нельзя расшифровать запечатанный том. Эта функция защищает от атак, при которых зашифрованный том перемещается с одного компьютера на другой. Однако поскольку доверенный платформенный модуль нельзя удалить из компьютера, он присутствует на нем всегда и не обеспечивает такую же стойкость, как полностью независимый фактор проверки подлинности. Доверенный платформенный модуль не обеспечивает защиты, если злоумышленнику удается раскрыть дополнительные средства проверки подлинности, например пароль учетной записи пользователя (для BitLocker только с доверенным платформенным модулем), USB-устройство или ПИН BitLocker.
Режим BitLocker: BitLocker с USB-устройством
Технология BitLocker поддерживает шифрование всего тома на компьютерах с микросхемой доверенного платформенного модуля версии 1.2. Хотя дополнительная защита, обеспечиваемая доверенным платформенным модулем, отсутствует в этом режиме, многие организации, которым требуется шифрование базового уровня, находят режим BitLocker с USB-устройством достаточным, если он используется в сочетании с политиками надежных паролей учетных записей и включенным параметром Запрашивать пароль при выходе из ждущего режима.
Поскольку в этом режиме доверенный платформенный модуль не используется, операция запечатывания и распечатывания основного ключа тома не выполняется. Вместо этого основной ключ тома шифруется и расшифровывается с помощью традиционных программных механизмов, использующих симметричный ключ, который находится на USB-устройстве. После подключения USB-устройства к компьютеру BitLocker загружает ключ и расшифровывает основной ключ тома. Основной ключ тома затем используется для расшифровки полного ключа шифрования тома (см. рис. ниже).
.gif)
Рис. 2.2. Процесс расшифровки в режиме BitLocker с использованием USB-устройства
На рисунке показаны приведенные ниже этапы.
Операционная система запускается и предлагает пользователю вставить USB-устройство, содержащее USB-ключ.
Основной ключ тома расшифровывается с помощью ключа на USB-устройстве.
Зашифрованный полный ключ шифрования тома считывается с тома, а для его расшифровки используется основной ключ тома.
Секторы диска расшифровываются с помощью полного ключа шифрования тома по мере доступа к ним.
Приложениям и процессам данные предоставляются в незашифрованном виде.
Снижение рисков: BitLocker с USB-устройством
Режим BitLocker с USB-устройством позволяет снизить указанные ниже риски.
Компьютер оставлен в режиме гибернации. После выхода из режима гибернации BitLocker потребует повторной проверки подлинности с помощью USB-устройства.
Обнаружение локального пароля или пароля домена. В режиме BitLocker с USB-устройством для доступа к зашифрованным данным на компьютере используется фактор проверки подлинности, отличный от допустимого пароля учетной записи.
Сотрудник организации может прочитать зашифрованные данные. Используется способ снижения риска, описанный выше.
Обнаружение ключей с помощью автономной атаки. Основной ключ тома шифруется с помощью ключа на USB-устройстве. Если USB-устройство недоступно, злоумышленнику потребуется определить значение полного ключа шифрования тома методом перебора.
Автономные атаки на операционную систему. Основной ключ тома шифруется с помощью ключа на USB-устройстве. Если USB-устройство недоступно, для определения значения полного ключа шифрования тома злоумышленнику потребуется использовать перебор несколько тысяч секторов, содержащих модули операционной системы (эквивалентно атаке методом перебора). Кроме того, технология BitLocker, настроенная на использование технологии диффузора (которая включена по умолчанию), позволяет предотвратить целенаправленные атаки подобного рода, поскольку незначительные изменения зашифрованного текста будут распространяться на большие области.
Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.
Утечка незашифрованных данных через системный файл подкачки. Когда служба BitLocker включена, системный файл подкачки шифруется.
Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.
Другие риски и их снижение: BitLocker с USB-устройством
Режим BitLocker с USB-устройством не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.
Компьютер оставлен в спящем (ждущем) режиме. Состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в спящий режим. При выходе из спящего режима полный ключ шифрования тома остается доступным на компьютере. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.
Пользователь не вышел из системы, компьютер разблокирован. После загрузки компьютера и распечатывания основного ключа тома расшифрованные данные доступны любому, кто может воспользоваться клавиатурой. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности.
Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима. Если злоумышленнику удастся выполнить обычную загрузку, вставив во время загрузки USB-устройство, операционная система окажется подверженной различным атакам, включая несанкционированное получение прав и удаленное выполнение кода.
Атаки на платформу. Компьютер, на котором используется BitLocker с USB-устройством, загружается и запускает операционную систему до появления окна выбора учетных записей пользователей (Winlogon) с помощью ключа, содержащегося на USB-устройстве. Любая атака на платформу, например прямой доступ к памяти (DMA) через шину PCI или интерфейсы IEEE 1394, может привести к разглашению данных ключа.
Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. USB-устройство является единственным физическим фактором проверки подлинности, от которого зависит процесс шифрования. Возможна ситуация, при которой пользователи, не прошедшие инструктаж или не соблюдающие нормы безопасности, могут хранить USB-устройство в сумке с мобильным ПК, что может привести к его краже. Риск, возникающий вследствие потери компьютера с USB-устройством, можно снизить с помощью подхода, при котором требуется дополнительный нефизический фактор проверки подлинности, например персональный идентификационный номер (ПИН) или пароль.
Режим BitLocker: BitLocker с доверенным платформенным модулем и ПИН
Компьютер, оснащенный микросхемой доверенного платформенного модуля 1.2 и BIOS с поддержкой BitLocker, можно настроить на использование двух факторов для расшифровки данных, зашифрованных с помощью BitLocker. Первым фактором является доверенный платформенный модуль, а вторым — ПИН.
Примечание.
Для организаций, уделяющих большое внимание безопасности, корпорация Майкрософт рекомендует использовать BitLocker с доверенным платформенным модулем и ПИН в качестве основного режима, поскольку при этом отсутствует внешнее средство, которое может быть потеряно или подвержено атаке.
Требование ввода ПИН на компьютере с включенной поддержкой BitLocker значительно повышает безопасность технологии BitLocker, но снижает удобство и управляемость. В этом режиме пользователю необходимо ввести два пароля — один для BitLocker (во время загрузки) и один для компьютера или домена при входе в систему. Эти два пароля должны быть различными и чаще всего являются таковыми, поскольку ПИН состоит из цифр, которые вводятся с помощью функциональных клавиш, а в большинстве случаев политики паролей домена отклоняют пароли, состоящие из одних цифр.
Хотя ПИН обеспечивает дополнительную безопасность, очень терпеливые или заинтересованные злоумышленники могут его вскрыть. BitLocker обрабатывает ПИН до того, как становится доступна поддержка локализованной клавиатуры, поэтому можно использовать только функциональные клавиши (F0 — F9). Это ограничивает энтропию ключа и позволяет провести атаку методом перебора, хотя и не очень быструю. К счастью, механизм использования ПИН с доверенным платформенным модулем устойчив к атакам перебором по словарю. Поставщики добавляют задержку после каждого ввода неправильного ПИН, которая увеличивается в геометрической прогрессии (конкретная реализация этой защиты зависит от поставщика). Эта задержка замедляет возможную атаку методом перебора, что делает ее неэффективной. Задержка при вводе является мерой защиты от непрерывного подбора пароля. Пользователи могут снизить риск вскрытия ПИН методом перебора путем выбора относительно стойких ПИН, состоящих из семи цифр, из которых по крайней мере четыре уникальны. Дополнительные сведения о выборе стойких ПИН см. в блоге группы обеспечения целостности системы на веб-узле MSDN.
Текущая версия BitLocker не обеспечивает прямой поддержки резервного копирования ПИН. Поскольку пользователю необходимо помнить два пароля, крайне важно создать ключ восстановления BitLocker на случай, если пользователь забудет свой ПИН.
На приведенном ниже рисунке показана логическая последовательность процесса расшифровки в режиме BitLocker с доверенным платформенным модулем и ПИН.
.gif)
Рис. 2.3. Процесс расшифровки в режиме BitLocker с доверенным платформенным модулем и ПИН
На рисунке показаны приведенные ниже этапы.
BIOS запускается и инициализирует доверенный платформенный модуль. Доверенные (измеренные) компоненты взаимодействуют с доверенным платформенным модулем, чтобы сохранить данные компонентов в регистрах конфигурации платформы доверенного платформенного модуля (PCR). Пользователю предлагается ввести ПИН.
Основной ключ тома расшифровывается доверенным платформенным модулем с помощью корневого ключа хранилища, если значения PCR соответствуют ожидаемым значениям и введен правильный ПИН.
Зашифрованный полный ключ шифрования тома считывается с тома, а для его расшифровки используется основной ключ тома.
Секторы диска расшифровываются с помощью полного ключа шифрования тома по мере доступа к ним.
Приложениям и процессам данные предоставляются в незашифрованном виде.
Интересное различие между данным режимом и базовым режимом BitLocker с доверенным платформенным модулем заключается в том, что для распечатывания основного ключа тома используется ПИН в сочетании с ключом доверенного платформенного модуля. После успешного выполнения распечатывания BitLocker работает так же, как и в базовом режиме.
Снижение рисков: BitLocker с доверенным платформенным модулем и ПИН
Режим BitLocker с доверенным платформенным модулем и ПИН позволяет снизить указанные ниже риски.
Компьютер оставлен в режиме гибернации. BitLocker с доверенным платформенным модулем и ПИН снижает этот риск, поскольку при выходе переносного компьютера из режима гибернации пользователю предлагается ввести ПИН.
Обнаружение локального пароля или пароля домена. Основное преимущество режима BitLocker с доверенным платформенным модулем и ПИН заключается в том, что в этом решении используется дополнительный фактор (учетные данные), необходимый для загрузки компьютера или выхода из режима гибернации. Это преимущество очень важно для пользователей, которые могут подвергаться атакам на основе социотехники или которые халатно относятся к паролям, например используют их на ненадежных компьютерах.
Сотрудник организации может прочитать зашифрованные данные. Пользователь с авторизованной учетной записью домена должен войти в систему на компьютере, для загрузки которого требуется эта учетная запись. Пользователь с авторизованной учетной записью домена, не обладающий дополнительным фактором проверки подлинности, не сможет загрузить компьютер, чтобы войти в систему. Пользователь (даже пользователь домена, которому разрешено входить в систему в соответствии с политикой домена), не знающий ПИН, не сможет получить доступ к данным на переносном компьютере.
Обнаружение ключей с помощью автономной атаки. Основной ключ тома шифруется с помощью ключа в доверенном платформенном модуле в сочетании с ПИН. Если ПИН неизвестен, злоумышленнику потребуется определить значение полного ключа шифрования тома методом перебора.
Автономные атаки на операционную систему. Основной ключ тома шифруется с помощью ключа в доверенном платформенном модуле в сочетании с ПИН. Если ПИН неизвестен, злоумышленнику потребуется определить значение ключа полного шифрования тома методом перебора и воспользоваться этим значением для расшифровки тома, чтобы атаковать файлы операционной системы.
Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.
Утечка незашифрованных данных через системный файл подкачки. Когда служба BitLocker включена, системный файл подкачки шифруется.
Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. ПИН является дополнительным нефизическим фактором проверки подлинности, который невозможно потерять с компьютером, если только он, например, не записан на листке бумаге.
Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.
Другие риски и их снижение: BitLocker с доверенным платформенным модулем и ПИН
Режим BitLocker с доверенным платформенным модулем и ПИН не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.
Компьютер оставлен в спящем (ждущем) режиме. Состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в спящий режим. При выходе из спящего режима полный ключ шифрования тома остается доступным на компьютере. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.
Пользователь не вышел из системы, компьютер разблокирован. После загрузки компьютера и распечатывания основного ключа тома расшифрованные данные доступны любому, кто может воспользоваться клавиатурой. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности.
Сетевые атаки на операционную систему. Риск сетевых атак на операционную систему не снижается при использовании данного режима.
Атаки на платформу. После ввода ПИН компьютер, на котором используется BitLocker с доверенным платформенным модулем и ПИН, загружается и запускает операционную систему до появления окна выбора учетных записей пользователей (Winlogon). Пока пользователь не введет ПИН, злоумышленник, выполняющий атаку на платформу, не сможет восстановить данные ключа. После ввода ПИН подобные атаки могут привести к разглашению данных ключа.
Режим BitLocker: BitLocker с доверенным платформенным модулем и USB-устройством
В предыдущем режиме технология BitLocker была настроена на использование ПИН в качестве дополнительного фактора проверки подлинности с доверенным платформенным модулем. Вместо ПИН можно использовать USB-устройство. В этом режиме пользователю предлагается вставить USB-устройство во время загрузки или при выходе из режима гибернации.
На приведенном ниже рисунке показана логическая последовательность процесса расшифровки в режиме BitLocker с доверенным платформенным модулем и USB-устройством.
.gif)
Рис. 2.4. Процесс расшифровки в режиме BitLocker с доверенным платформенным модулем и USB-устройством
На рисунке показаны приведенные ниже этапы.
BIOS запускается и инициализирует доверенный платформенный модуль. Доверенные (измеренные) компоненты взаимодействуют с доверенным платформенным модулем, чтобы сохранить данные компонентов в регистрах конфигурации платформы доверенного платформенного модуля (PCR).
Пользователю предлагается вставить USB-устройство, содержащее ключ BitLocker.
Промежуточный ключ расшифровывается доверенным платформенным модулем с помощью корневого ключа хранилища, если значения PCR соответствуют ожидаемым значениям. Этот промежуточный ключ объединяется с ключом на USB-устройстве для создания другого промежуточного ключа, используемого для расшифровки основного ключа тома.
Зашифрованный полный ключ шифрования тома считывается с тома, а для его расшифровки используется основной ключ тома.
Секторы диска расшифровываются с помощью полного ключа шифрования тома по мере доступа к ним.
Приложениям и процессам данные предоставляются в незашифрованном виде.
Этот режим отличается от основного режима BitLocker с доверенным платформенным модулем или режима BitLocker с доверенным платформенным модулем и ПИН, поскольку для расшифровки основного ключа тома данные ключа, хранящегося на USB-устройстве, объединяются с ключом доверенного платформенного модуля. После успешного выполнения распечатывания BitLocker работает так же, как и в базовом режиме.
Снижение рисков: BitLocker с доверенным платформенным модулем и USB-устройством
Режим BitLocker с доверенным платформенным модулем и USB-устройством позволяет снизить указанные ниже риски.
Компьютер оставлен в режиме гибернации. После выхода из режима гибернации BitLocker потребует повторной проверки подлинности с помощью USB-устройства.
Обнаружение локального пароля или пароля домена. Как и в предыдущем режиме, основное преимущество режима BitLocker с доверенным платформенным модулем и USB-устройством заключается в том, что в этом решении используется дополнительный фактор (учетные данные), необходимый для загрузки компьютера или выхода из режима гибернации.
Сотрудник организации может прочитать зашифрованные данные. Поскольку в данном режиме используется дополнительный фактор проверки подлинности, снижается риск того, что злоумышленник с допустимой учетной записью сможет загрузить компьютер, войти в систему и прочитать зашифрованные данные.
Обнаружение ключей с помощью автономной атаки. Если USB-устройство отсутствует, злоумышленнику потребуется вскрыть ключ, хранящийся на USB-устройстве, методом перебора, чтобы определить значение полного ключа шифрования тома.
Автономные атаки на операционную систему. Если USB-устройство отсутствует, злоумышленнику потребуется вскрыть ключ, хранящийся на USB-устройстве, методом перебора, чтобы атаковать операционную систему.
Утечка незашифрованных данных через файл гибернации. Главной целью технологии BitLocker является защита данных на томе жесткого диска с операционной системой, когда компьютер отключен или находится в режиме гибернации. Когда служба BitLocker включена, файл гибернации шифруется.
Утечка незашифрованных данных через системный файл подкачки. В системе Windows Vista файл подкачки шифруется с помощью временного симметричного ключа, который создается во время загрузки, но никогда не записывается на диск. После отключения компьютера этот ключ удаляется, поэтому для восстановления данных из файла подкачки требуется найти симметричный ключ, который использовался для шифрования файла подкачки, методом перебора.
Ошибка пользователя. Поскольку BitLocker является технологией шифрования всего тома, она шифрует все файлы, хранящиеся на томе с операционной системой Windows Vista. Это позволяет защититься от ошибок пользователей, которые принимают неверные решения относительного того, следует ли применять шифрование.
Другие риски и их снижение: BitLocker с доверенным платформенным модулем и USB-устройством
Режим BitLocker с доверенным платформенным модулем и USB-устройством не позволяет снизить указанные ниже риски без применения дополнительных средств управления и политик.
Компьютер оставлен в спящем (ждущем) режиме. Состояние переносного компьютера и ключи шифрования BitLocker не изменяются при переходе переносного компьютера в спящий режим. При выходе из спящего режима полный ключ шифрования тома остается доступным на компьютере. Этот риск можно снизить, включив параметр Запрашивать пароль при выходе из ждущего режима.
Пользователь не вышел из системы, компьютер разблокирован. После загрузки компьютера и расшифровки основного ключа тома расшифрованные данные доступны любому, кто может воспользоваться клавиатурой. Наиболее надежным способом снижения данного риска является обучение пользователей, на компьютерах которых имеются конфиденциальные данные, основам безопасности.
Сетевые атаки на операционную систему. Если злоумышленнику удастся выполнить обычную загрузку, вставив во время загрузки USB-устройство, операционная система окажется подверженной различным атакам, включая несанкционированное получение прав и удаленные атаки.
Атаки на платформу. Компьютер, на котором используется BitLocker с доверенным платформенным модулем и USB-устройством, загружается и запускает операционную систему до появления окна выбора учетных записей пользователей (Winlogon). Атаки на платформу могут привести к разглашению данных ключа.
Необходимое средство проверки подлинности оставлено на компьютере или рядом с ним. USB-устройство является единственным физическим фактором проверки подлинности, от которого зависит процесс шифрования. Риск того, что пользователь потеряет компьютер одновременно с USB-устройством, можно снизить с помощью подхода, при котором требуется дополнительный нефизический фактор проверки подлинности, например ПИН или пароль.
Технология BitLocker: сводный анализ рисков
В приведенной ниже таблице содержатся данные о рисках и различных режимах BitLocker, которые позволяют снизить каждый из них. Риски, которые можно снизить при использовании определенных режимов, помечены словом Да. Тире (—) обозначают риски, которые нельзя существенно снизить с помощью соответствующего режима.
Таблица 2.1. Снижение рисков BitLocker
.gif)
Дополнительные сведения
Статья о шифровании диска BitLocker AES-CBC + диффузор Elephant
Файлы для загрузки
Загрузите набор средств шифрования данных для мобильных ПК
Регистрация
Зарегистрируйтесь в программе тестирования бета-версии набора средств шифрования данных
Уведомления об обновлениях
Подпишитесь, чтобы вовремя узнавать об обновлениях и новых выпусках
Отзывы и предложения